Utilizzo di un profilo di Configurator per "ruotare" le password Wi-Fi

1

Gestisco la progettazione, la realizzazione / test e l'implementazione di 3.500 dispositivi iOS nella nostra azienda in autunno. Abbiamo utilizzato i profili di Configurator .mobileconfig per gestire i payload Wi-Fi su una rete wireless WPA2 Enterprise. Gli iPod sono registrati in MobileIron MDM e utilizzano iOS 7.1.2. Ho un problema "chicken & egg" relativo all'autenticazione Wi-Fi e alla gestione a lungo termine del processo di connessione. Spero solo che stia facendo un buon lavoro nel raccontare la storia del lavoro che ho fatto per provarlo e cancellarlo da solo!

Utilizziamo un account di servizio di Active Directory per connettersi ai controller wireless Cisco. Pertanto, il dominio \ account e la password sono codificati in .mobileconfig e risiedono sul dispositivo. Potremmo semplicemente specificare queste impostazioni direttamente in MobileIron (MI) e utilizzarlo per spingere questo profilo importato, ma penso che il problema sia lo stesso.

Per scopi di best practice, supponiamo di volere (o anche di volere) modificare la password associata a questo account di servizio e di avere un nuovo profilo caricato in MI pronto per essere inviato ai dispositivi. Ogni dispositivo ha uno stato diverso di 'prontezza' in un dato momento, giusto? In altre parole, alcuni potrebbero essere in uso, alcuni potrebbero essere bloccati, alcuni potrebbero essere morti e caricati ... quindi non posso fare affidamento su dispositivi che ricevono un nuovo profilo push da MI quando è "pubblicato" su quel gruppo di dispositivi.

Modificando la password, interrompo la capacità di quel dispositivo di connettersi al server MI e di ricevere quel profilo con le nuove credenziali (in assenza di una cache sul lato iOS che possa persistere, anche questo non è affidabile). Certo, con una popolazione più piccola è possibile ritagliare attentamente questo processo in modo tale che il profilo con la nuova password venga inviato e ricevuto prima di modificarlo in AD, ma sarebbe quasi impossibile monitorare migliaia di dispositivi.

Dopo aver eseguito questa operazione da un ingegnere senior di Apple a cui ho accesso, ho pensato di creare un profilo che consistesse nel seguente:

SSID: BananaStand
WPA2 Enterprise: EAP/TLS
Username: Domain\GOB
Password: Segway01

SSID: BananaStand
WPA2 Enterprise: EAP/TLS
Username: Domain\GOB
Password: Marta143

SSID: BananaStand
WPA2 Enterprise: EAP/TLS
Username: Domain\GOB
Password: T0nyW0nd3r!

Pensando che se l'iPod è stato collegato utilizzando la prima password, una volta che l'ho modificato in Active Directory, il profilo eseguirà il "failover" alle voci successive per questo SSID finché non si connetterà correttamente.

Ho provato questo processo con un hotspot Verizon (dove ho potuto controllare facilmente l'ambiente) e l'iPod ha provato tre volte e ha rinunciato. Attivare il Wi-Fi e il ciclo di accensione non ha avuto alcun effetto.

Qualcuno ha qualche idea su come potrei essere in grado di "precaricare" le password (quasi come un elenco di "codici di backup" per Evernote / Google / etc) in un profilo o MI per consentire al dispositivo iOS di avere già conoscenza della prossima password PRIMA che venga avviata dalla rete?

Btw, potremmo essere pronti per l'autenticazione WAP basata su certificato in futuro, ma non oggi.

    
posta Paul B 28.07.2014 - 21:54
fonte

0 risposte

Leggi altre domande sui tag